Sonntag, 19. Juni 2011

Die grosse Pest: Rogue Spyware, z.B. MS Removal Tool

Nachdem ich sowohl beruflich als auch im privaten Umfeld einigermassen Ruhe hatte, scheint zumindest für mein Umfeld eine neue Welle von Rogue Spyware anzurollen. Rogue Spyware gibt vor, Schädlinge auf dem Computer gefunden zu haben und diese nach Bezahlung einer Gebühr zu entfernen. In Wahrheit ist die Rogue Spyware selber aber der eigentlich Schädling und die vermeindlichen Funde sind frei erfunden. Der Infektionsweg ist in der Regel per Drive-by-Download.

Ich muss gesehen, dass ich die ersten Infektionen etwas belächelt habe, so nach dem Motto "PC nicht gepatch toder mal wieder 'ne Warez oder Porno-Seite aufgerufen".

Daher staunte ich nicht schlecht, als auf einem meiner Rechner, auf dem nur eine VM unter Virtual PC auf einmal das "MS Removal Tool" auftauchte. Ein Browser war ebenfalls geöffnet, ich lud mir von der MSDN ein ISO-Image bei Microsoft herunter.


Ich bin zu wenig Sicherheitsexperte und ausserdem war der PC bei mir zu Hause an einer Fritzbox, so dass ich keinerlei Firewall-Logs auswerten könnte. Sämtliche PCs haben bei mir immer aktuelle MS-Patche, allerdings halte ich es mit den JAVA und Flash-Updates nicht allzu genau, ich vermute, dass es hierüber lief.

Interessant ist auch dieser Artikel hierzu: http://www.heise.de/newsticker/meldung/Report-Boesartige-Webseiten-sind-waehlerisch-135381.html
"Darüber hinaus wächst laut Report der Anteil von Malware in Online-Werbung. Online-Auftritte würden vermehrt Werbung von anderen Dienstleistern in ihre Seiten einbinden, über die sie kaum die Kontrolle haben. So geschehe es dann, dass auf einer vertrauenswürdigen Seite Werbung von einem kompromittieren Ad-Server eingeblendet wird und so Besucher mit Trojanern infiziert werden. Ohnehin hätten die Virenautoren mit manipulierter Online-Werbung eine höhere Reichweite als mit dem Manipulieren einzelner Webauftritte."

MS Removal Tool


Das Ding sieht so aus:

Zunäschst einmal kann man weder den Taskmanager aufrufen, noch die command-Box.


Ich weiss bis zum jetzigen Zeitpunkt (19.Juni 2011 22:00) nicht mit Sicherheit, wie Vertrauensürdig trojan-killer.net bzw. die dahinterstehende Firma GridinSoft ist. Es ist ein Softwarehaus in der Ukraine, was seine Programmierkünste anscheinend auch in USA und Canada anbietet. Ukraine und die schlechte deutsche Übersetzung verheissen nichts gutes, aber die Firma stellt auch noch andere Produkte her, was wieder eher für Sie spricht.

Jedenfalls ist die Enfernungsanleitung sehr gut:
  • Das erste Problem ist, dass man den Prozess nicht mit dem Taskmanage abschiessen kann. Unter http://trojan-killer.net/download/explorer.exe kann man ein Tool herunterladen , dass den Prozess erst einmal beendet.
  • Anschliessend soll man mit Trojan Killer den PC scannen. Was mich jetzt erstaunte war, dass ich keinerlei Funde hatte. Eventuell war meine Variante schon wieder zu neu.
  • Als nächtes nutzte ich Super-Antispyware Free Edition http://www.superantispyware.com/download.html Auch diese versagte, was die Erkennung anging.
  • Als nächstes machte ich noch einen Scan mit Anti-Malware von Malwarebyte http://www.malwarebytes.org/products/malwarebytes_free
  • Dieses fand den Trojan.FakeAlert, der bei mir unter C:\Programdate\gc42900bdofo42900\gc42900bdofo42900.exe zu finden war.
  • Ich liess diesen entfernen und suchte in der Registry nach gc42900bdofo42900
  • Hier fanden sich unter HKLM\Software\Microsoft\Tracing zwei Einträge mit entsprechendem Namen und liess den Rechner neu starten.
  • Jetzt aktualisierte ich noch Flash und JAVA
  • Update: Seither ist absolute Ruhe auf dem betroffenen PC


Allgemeines zur Rogue Spyware Enfernung

  • In der Regel ist immer das Profil des Users verseucht. Also alle Entfernungsversuche in seinem Profil!
  • Einige Programme ändern die Registry so, dass beim Doppelklick auf eine Exe immer der Schädling geöffnet wird. Dies kann mit dem folgenden Tool geändert werden http://download.bleepingcomputer.com/reg/FixNCR.reg
  • Entfernung mögichst im Safe Mode mit Netzwerk ausführen
  • Hat man keine Internetverbindung, liegt das in der Regel daran, dass die Rogue Spyware einen nicht vorhandenen Proxy in die Verbindungseinstellungen des Internet-Explorers eingetragen hat => Dies also händisch fixen. Auch sollte man die hosts-Datei auf falsche Einträge überprüfen.
  • Nun gilt es den laufenden Rogue Spyware Prozess zu killen. Entweder nimmt man
  • Häufig wird der Start dieser Dateien verhindert. Oft reicht einfaches umbennen (z.B. in explorer.exe oder iexplore.exe)
  • Eventuell findet sich das Programm nicht. Es kann helfen, nach den neusten EXE-Dateien zu suchen. Meistens sind diese eine Kombination aus Zufallsbuchstaben und Ziffern.Sollte die Suchfunktion nicht mehr gehen, hilft eventuell
dir *.exe /s /o:-d

Diverse Reparaturanleitungen

http://www.bleepingcomputer.com/virus-removal/

Weitere Quellen

http://www.bleepingcomputer.com/virus-removal/remove-ms-removal-tool

Most common registry key to check while dealing with Virus issue
http://www.symantec.com/connect/articles/most-common-registry-key-check-while-dealing-virus-issue

Keine Kommentare:

Kommentar veröffentlichen